BO 4 .2解决安全漏洞 - EasySAP

SAP BusinessObjects Business Intelligence platform

BO 4 .2解决安全漏洞

2020-09-05 03:44发布

站内问答 / BO

1646 4

点击此处---> 群内免费提供SAP练习系统（在群公告中）

加入QQ群：457200227（SAP S4 HANA技术交流）群内免费提供SAP练习系统（在群公告中）

嗨，

我们正在运行带有Apache Tomcat的BO 4.2 SP05，以及在它们前面运行Apache的独立的反向代理服务器。

我们被要求解决以下漏洞

缓慢的HTTP POST漏洞

解决方案将是特定于服务器的，但是一般的建议是：-将可接受的请求的大小限制为每种表单要求-建立最低可接受的速度-建立与POST请求特定于服务器的连接的绝对请求超时

2.包含密码字段的HTML表单通过HTTP提供

确保包含密码字段的HTML表单始终仅通过HTTPS提供。

我猜如果我们将tomcat/conf/server.xml中的tomcat连接器更改为使用ssl一个，这可能会解决2）

是这样吗？

<连接器端口=" 8443"，协议=" org.apache.coyote.http11.Http11NioProtocol" maxThreads =" 150" SSLEnabled =" true"> <证书certificateKeystoreFile =" conf/localhost-rsa.jks" type =" RSA"/>

3.使用已知漏洞的JavaScript库

该Web应用程序正在使用一个或多个包含已知漏洞的JavaScript库。

易受攻击的JavaScript库：jQuery版本：1.12.4脚本uri： https://server.com/BOE/portal/1806171610/InfoView/help/zh-CN/js/jquery.min.js 详细信息：CVE-2015-9251：jQuery 1.4.0或更高版本以及1.12.0以下（版本1.12.3以及更高版本但也低于3.0.0-beta1）的版本很容易通过第三方文本/javascript响应受到XSS的攻击（可以执行第三方CORS请求）。（ https://github.com/jquery/jquery/issues/2432）。解决方案：jQuery 3.0.0版本已发布，以解决该问题（ http://blog.jquery.com/2016/01/08/jquery-2-2-and-1-12-released /）。请参考供应商文档（ https://blog.jquery.com /）安全更新。 ----------------------------------------------在jQuery版本中或高于1.12.2且低于2.2.0的$ .parseHTML具有XSS（很多）。在这些版本中，parseHTML（）在事件处理程序中执行脚本。请参考以下资源以获取更多详细信息： https://bugs.jquery.com/ticket/ 11974 ， http://research.insecurelabs.org/jquery/test /---------------------------------------------- CVE-2019-11358：Drupal，Backdrop CMS和其他产品中使用的3.4.0以下的jQuery版本由于Object.prototype污染而错误地处理了jQuery.extend（true，{}，...）。包含可枚举__proto__属性的未经消毒的源对象可以扩展本机Object.prototype。请参考以下资源以获取更多详细信息： https://blog.jquery.com/2019/04/10/jquery-3-4-0-released /， https://nvd.nist.gov/vuln/detail/CVE-2019-11358 ， https://github.com/jquery/jquery/commit/753d591aea698e57d6db58c9f722cd0808619b1b ， https://nvd.nist.gov/vuln/detail/CVE-2019-11358 。在以下页面上找到（仅报告前10页）： https://server.com/BOE/portal/1806171610/InfoView/help/zh-CN/607df911dca44e5798e21a0152393932.html https://server.com/BOE/portal/1806171610/InfoView/help/zh-CN/search.html https://server.com/BOE/portal/ 1806171610/InfoView/help/zh/04968906ad7f46859a0382db069db130.html ？ x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/19803bf22d294b77b8a0fa25aa6245a6.html ？ x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh/0ab4b69b968944b0a757c726899e9a6f.html ？ x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/en/1cc9e932022e4ee2a46d6432a84532a3.html ？ x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/38745b17bb9a4f20b138531880ad03a2.html ？ x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/452aa127115b4afba2a49a29b2c8ad7b.html ？ x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/423ccd8c351a4f2dbe4a4c92a821e733.html ？ x = 2832077246133594 https://server.com /BOE/portal/1806171610/InfoView/help/zh-CN/46ac7fed6e041014910aba7db0e91070.html ？ x = 2832077246133594支持证据 server.com 资产

的HTTP方法响应严重报告

这是应用程序的一部分-我们如何解决这个问题？

4条回答

1楼 · 2020-09-05 04:36.采纳回答

对于#2，在Tomcat中启用HTTPS仅会影响Apache反向代理与Tomcat之间的通信，而不会启用来自浏览器的安全加密通信。为此，您将需要在反向代理上启用HTTPS。

2楼-- · 2020-09-05 04:21

这取决于您的公司是否需要HTTPS来进行内部（服务器到服务器）通信。如果是这样，则您需要在反向代理和Tomcat上都启用它。

我对#1并不完全了解，但是我认为这需要对反向代理进行更改。

< p>对于#3，我知道某些应用程序可能需要特定版本的jquery，因此仅交换较新的版本可能并不安全。我建议打开一个支持案例，以查看BO的较新SP是否包含所需的jquery版本，或者是否可以安全地交换所需的版本。

渐行渐远_HoldOn

3楼-- · 2020-09-05 04:14

对于#3我建议您为发现的每个CVE搜索知识库，然后查看以下SAP注释：
https://launchpad.support.sap.com/#/notes/2498770

https://launchpad.support.sap.com/#/notes/2474924

对于#1来说-这听起来不像是一个漏洞，可以在您的代理级别进行控制，所以您需要与您的Web/安全团队交谈。
#2-您的Web管理员和网络安全团队需要可以根据您组织的安全标准来解决此问题。

4楼-- · 2020-09-05 04:11

感谢所有人的答复。

已阅读了汁液注释，并且似乎看不到与我们存在的漏洞相关的任何注释。

一周热门更多>

点击此处---> 一起学习S4 HANA ...

相关问答